Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
A la limite, je peux comprendre qu'on paie pour activer des fonctions additionnelles ou qu'on re-paie pour avoir des mises à jour. Je trouve ça détestable, mais je peux comprendre que ça existe. Par contre, un truc qui se met en panne passé un délais si il n'a pas pu valider sa licence dans le cloud, ca me semble tellement inadmissible que j'ai peine à croire que ça se fasse. C'est quoi la marque du biniou que j'évite de perdre mon temps avec ? Le 15/03/2022 à 16:08, ic a écrit : io, On 14 Mar 2022, at 12:17, Xavier Beaudouin via frnog wrote: Sympa... Au bout d'un an... BING !…. et si on recule l’horloge ? :) ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
io, > On 14 Mar 2022, at 12:17, Xavier Beaudouin via frnog wrote: > > Sympa... Au bout d'un an... BING !…. et si on recule l’horloge ? :) ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Ca me parait effectivement extrêmement improbable. Ne serait-ce parce qu'il faudrait que tous les routeurs soient sur des réseaux IP publics ou a minimum natté ce qui est un postulat absolument faux. Et quand on voit la fréquence des blackhole ICMP sur les réseaux WAN, Je pense que ça se saurait depuis longtemps. Le 13/03/2022 à 18:41, Raphael Mazelier a écrit : Sur ce que je connais le mieux : junos sur du mx gamme classique (240, 480, 960 qui constituent encore le cœur de nombreux réseaux opérateur) il n'y a ma connaissance aucun mécanisme de licence enforcé. Si c'était le cas cela voudrait dire que tout les routeurs en circulation devraient avoir des licences à jour et être dûment déclaré chez Juniper. Hors de ce que j'en sais (ou même déployé) il existe de nombreux routeur en prod issu du grey market avec un junos hors support. A priori tout ces routeurs sont toujours up and running. -- Raphaël Mazelier On 13/03/2022 16:08, David Ponzone wrote: Perso, j’y crois pas. Il y a forcément des réseaux sur lesquels les routeurs n’ont pas accès au net, pour des raisons de topo ou de sécurité. Quelqu’un veut bien faire le test ? David Ponzone Le 13 mars 2022 à 15:48, Wallace a écrit : Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont full open en sortie même si l'entrée est filtrée, je doute même que beaucoup de monde aient une vue sur le trafic émis par un backbone puisqu'il n'y a pas de firewall pour loguer et filtrer en amont. En tout cas je sors les popcorns j'ai hâte de voir les retours. Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : Dans le cadre de la réflexion sur la robustesse de l'Internet au cas où un russe / un chat / un chat russe couperait les câbles transatlantiques, certains disent que les routeurs Cisco / Juniper / etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas joindre leur serveur de licences. Cela me parait fort de café (bien des routeurs sont dans des réseaux fermés, sans accès à l'extérieur) mais avez-vous des informations fiables à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Hello, > Chez Cisco, c'est la logique "Smart licensing" qui s'impose maintenant > sur les branches logicielles récentes. > > On se retrouve par exemple à migrer des routeurs de la branche IOS-XE > 3.16.x vers 17.3 Amsterdam. Là, le smart licensing est activé de facto > et non débrayable. Autant rester en 16.x... Clairement le coup du "call home" n'est pas vraiment une feature désirée... Déjà que le "pay as you grow" est aussi une belle méthode pour facturer 2 fois le même produit (quand je voyais que les licenses 2 x 10G sur asr1001x valais le prix du neuf avec cette license..). > Pour autant, les licences historiques installées localement dans > l'équipement sont bien récupérées mais on voit que l'équipement est > soumis à une politique qui l'oblige à tenter un rapport de licensing > sous 365j : Sympa... Au bout d'un an... BING ! > - les routeurs de gamme ASR1000 ou ISR4000 gardent des fonctionnalités > "normales" en cas d'échec de communication. Normales... ou normales avec la plus petite license? :D Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : Dans le cadre de la réflexion sur la robustesse de l'Internet au cas où un russe / un chat / un chat russe couperait les câbles transatlantiques, certains disent que les routeurs Cisco / Juniper / etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas joindre leur serveur de licences. Cela me parait fort de café (bien des routeurs sont dans des réseaux fermés, sans accès à l'extérieur) mais avez-vous des informations fiables à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Stéphane, Chez Cisco, c'est la logique "Smart licensing" qui s'impose maintenant sur les branches logicielles récentes. On se retrouve par exemple à migrer des routeurs de la branche IOS-XE 3.16.x vers 17.3 Amsterdam. Là, le smart licensing est activé de facto et non débrayable. Pour autant, les licences historiques installées localement dans l'équipement sont bien récupérées mais on voit que l'équipement est soumis à une politique qui l'oblige à tenter un rapport de licensing sous 365j : Usage Reporting: Last ACK received: Next ACK deadline: Dec 21 16:05:35 2022 MET Reporting push interval: 30 days Next ACK push check: Next report push: Jan 06 15:44:01 2022 MET Last report push: Last report file write: L'impact d'un manquement de cette échéance n'est pas bien clair. Cela semble surtout dépendre de la gamme concernée : https://www.cisco.com/c/dam/en/us/products/collateral/software/smart-accounts/smart-licensing-product-details-external.xlsx Si l'on en croit la colonne S, on voit par exemple que : - les routeurs de gamme ASR1000 ou ISR4000 gardent des fonctionnalités "normales" en cas d'échec de communication. - par contre, les serveurs de TOIP CUCM bloquent la gestion des utilisateurs et terminaux après 180j de grâce supplémentaire. - et une appliance firewall virtuelle (ASAv) selon sa version OS : soit reboote et se retrouve bridée à 100kbps, soit ne change rien (ça a du râlé un peu...). Bref, ça illustre bien la simplification annoncée par Cisco... 😁 Pas testé, mais il semble exister une méthode de déploiement complètement offline pour les équipements isolés : https://www.cisco.com/c/en/us/products/software/smart-accounts/software-licensing.html#~deployment Voilà si quelqu'un de Cisco veut nous éclairer, ce sera bienvenue. Pour ma part, j'ai l'impression que c'est plus déclaratif qu'autre chose (en général et à ce stade). Bonne journée -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Cisco dans sa grandeur, pas prêt de retourner sur leurs équipements. Le 13/03/2022 à 18:22, JCLB a écrit : After the 90 days time period, these licenses move to the Expired or EVAL EXPIRED state. For CSR and ISRv, after the 90 days time period, the throughput drops to a default of 1Mbps Une doc iOS XE Pour faire du vrai SCADA y'a un mode satellite déconnecté, où une fois par mois tu dois manuellement faire un aller-retour avec des fichiers entre le serveur offline et le portail du constructeur. Autant dire que c'est moins rigolo qu'un nag screen et qu'il faut surveiller les activations autant que les expirations de certificats. Sur les FW on perd généralement les fonctions au-delà du filtrage L3/L4 (Antivirus, filtrage web,...) JC Bisecco -Message d'origine- De : David Ponzone Envoyé : dimanche 13 mars 2022 17:30 À : JCLB Cc : Wallace;frnog@frnog.org Objet : Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ? Oui mais la question c’est: que se passe-t-il si le serveur n’est plus joignable une fois que le routeur est en prod. David Ponzone Le 13 mars 2022 à 17:58, JCLB a écrit : Bonjour, Chez certains constructeurs c'est déclaratif et ça fonctionne même sans licence, chez d'autres il faut un serveur d'activation on premise en l'absence d'accès direct à internet. Typiquement comme le KMS chez Microsoft. Chez Cisco ça s'appelle le "satellite". Toujours chez Cisco il semble exister les PLR (Permanent License Reservation) mais je ne connais personne en ayant eu. JC Bisecco -Message d'origine- De :frnog-requ...@frnog.orgDe la part de David Ponzone Envoyé : dimanche 13 mars 2022 16:08 À : Wallace Cc :frnog@frnog.org Objet : Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ? Perso, j’y crois pas. Il y a forcément des réseaux sur lesquels les routeurs n’ont pas accès au net, pour des raisons de topo ou de sécurité. Quelqu’un veut bien faire le test ? David Ponzone Le 13 mars 2022 à 15:48, Wallace a écrit : Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont full open en sortie même si l'entrée est filtrée, je doute même que beaucoup de monde aient une vue sur le trafic émis par un backbone puisqu'il n'y a pas de firewall pour loguer et filtrer en amont. En tout cas je sors les popcorns j'ai hâte de voir les retours. Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : Dans le cadre de la réflexion sur la robustesse de l'Internet au cas où un russe / un chat / un chat russe couperait les câbles transatlantiques, certains disent que les routeurs Cisco / Juniper / etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas joindre leur serveur de licences. Cela me parait fort de café (bien des routeurs sont dans des réseaux fermés, sans accès à l'extérieur) mais avez-vous des informations fiables à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
On Sun, Mar 13, 2022, at 14:27, Stephane Bortzmeyer wrote: > où un russe / un chat / un chat russe couperait les câbles > transatlantiques, certains disent que les routeurs Cisco / Juniper / > etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas > joindre leur serveur de licences. > > Cela me parait fort de café (bien des routeurs sont dans des réseaux > fermés, sans accès à l'extérieur) mais avez-vous des informations > fiables à ce sujet Il s'agit peut-etre des systeme comme le smart-licencing de chez Cisco. Meme s'il y a des interogations des serveurs de licence de Cisco (directement ou via agent intermediaire ou proxy), il y a quand-meme quelques choses a considerer: - avant d'arriver a une coupure complete de l'interco EUR-USA, il y aura des problemes nettemnt plus serieuses a considerer - pour rappel, on peut aussi joindre les USA par "l'autre cote" aussi, meme si les conditions sont nettement moins favorable - si la situation est amene a en arriver la, je suis assez confiant que les filiales europeenes peuvent aider leurs clients a survivre la situation (la realite ayant montre qu'il y a des moyens de debrayer ou de geler temporairement le systeme) - qui dit que les serveurs de licence sont et vont rester uniquement aux USA ? Y a interdiction d'en avoir en Europe ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Bonne raison de rester en IOS 16. David Ponzone > Le 13 mars 2022 à 19:22, JCLB a écrit : > > After the 90 days time period, these licenses move to the Expired or EVAL > EXPIRED state. > For CSR and ISRv, after the 90 days time period, the throughput drops to a > default of 1Mbps > > Une doc iOS XE > > Pour faire du vrai SCADA y'a un mode satellite déconnecté, où une fois par > mois tu dois manuellement faire un aller-retour avec des fichiers entre le > serveur offline et le portail du constructeur. > > Autant dire que c'est moins rigolo qu'un nag screen et qu'il faut surveiller > les activations autant que les expirations de certificats. > > Sur les FW on perd généralement les fonctions au-delà du filtrage L3/L4 > (Antivirus, filtrage web,...) > > > JC Bisecco > > -Message d'origine- > De : David Ponzone > Envoyé : dimanche 13 mars 2022 17:30 > À : JCLB > Cc : Wallace ; frnog@frnog.org > Objet : Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ? > > Oui mais la question c’est: que se passe-t-il si le serveur n’est plus > joignable une fois que le routeur est en prod. > > David Ponzone > > > >> Le 13 mars 2022 à 17:58, JCLB a écrit : >> >> Bonjour, >> >> Chez certains constructeurs c'est déclaratif et ça fonctionne même sans >> licence, chez d'autres il faut un serveur d'activation on premise en >> l'absence d'accès direct à internet. >> Typiquement comme le KMS chez Microsoft. >> >> Chez Cisco ça s'appelle le "satellite". >> Toujours chez Cisco il semble exister les PLR (Permanent License >> Reservation) mais je ne connais personne en ayant eu. >> >> JC Bisecco >> >> >> -Message d'origine- >> De : frnog-requ...@frnog.org De la part de >> David Ponzone Envoyé : dimanche 13 mars 2022 16:08 À : Wallace >> Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] >> Les routeurs dépendent-ils du serveur de licence ? >> >> Perso, j’y crois pas. Il y a forcément des réseaux sur lesquels les routeurs >> n’ont pas accès au net, pour des raisons de topo ou de sécurité. >> >> Quelqu’un veut bien faire le test ? >> >> David Ponzone >> >> >> >>>> Le 13 mars 2022 à 15:48, Wallace a écrit : >>> >>> Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont >>> full open en sortie même si l'entrée est filtrée, je doute même que >>> beaucoup de monde aient une vue sur le trafic émis par un backbone >>> puisqu'il n'y a pas de firewall pour loguer et filtrer en amont. >>> >>> En tout cas je sors les popcorns j'ai hâte de voir les retours. >>> >>>>> Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : >>>> Dans le cadre de la réflexion sur la robustesse de l'Internet au cas >>>> où un russe / un chat / un chat russe couperait les câbles >>>> transatlantiques, certains disent que les routeurs Cisco / Juniper / >>>> etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent >>>> pas joindre leur serveur de licences. >>>> >>>> Cela me parait fort de café (bien des routeurs sont dans des réseaux >>>> fermés, sans accès à l'extérieur) mais avez-vous des informations >>>> fiables à ce sujet ? >>>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Sur ce que je connais le mieux : junos sur du mx gamme classique (240, 480, 960 qui constituent encore le cœur de nombreux réseaux opérateur) il n'y a ma connaissance aucun mécanisme de licence enforcé. Si c'était le cas cela voudrait dire que tout les routeurs en circulation devraient avoir des licences à jour et être dûment déclaré chez Juniper. Hors de ce que j'en sais (ou même déployé) il existe de nombreux routeur en prod issu du grey market avec un junos hors support. A priori tout ces routeurs sont toujours up and running. -- Raphaël Mazelier On 13/03/2022 16:08, David Ponzone wrote: Perso, j’y crois pas. Il y a forcément des réseaux sur lesquels les routeurs n’ont pas accès au net, pour des raisons de topo ou de sécurité. Quelqu’un veut bien faire le test ? David Ponzone Le 13 mars 2022 à 15:48, Wallace a écrit : Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont full open en sortie même si l'entrée est filtrée, je doute même que beaucoup de monde aient une vue sur le trafic émis par un backbone puisqu'il n'y a pas de firewall pour loguer et filtrer en amont. En tout cas je sors les popcorns j'ai hâte de voir les retours. Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : Dans le cadre de la réflexion sur la robustesse de l'Internet au cas où un russe / un chat / un chat russe couperait les câbles transatlantiques, certains disent que les routeurs Cisco / Juniper / etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas joindre leur serveur de licences. Cela me parait fort de café (bien des routeurs sont dans des réseaux fermés, sans accès à l'extérieur) mais avez-vous des informations fiables à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Oui mais la question c’est: que se passe-t-il si le serveur n’est plus joignable une fois que le routeur est en prod. David Ponzone > Le 13 mars 2022 à 17:58, JCLB a écrit : > > Bonjour, > > Chez certains constructeurs c'est déclaratif et ça fonctionne même sans > licence, chez d'autres il faut un serveur d'activation on premise en > l'absence d'accès direct à internet. > Typiquement comme le KMS chez Microsoft. > > Chez Cisco ça s'appelle le "satellite". > Toujours chez Cisco il semble exister les PLR (Permanent License Reservation) > mais je ne connais personne en ayant eu. > > JC Bisecco > > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de David > Ponzone > Envoyé : dimanche 13 mars 2022 16:08 > À : Wallace > Cc : frnog@frnog.org > Objet : Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ? > > Perso, j’y crois pas. Il y a forcément des réseaux sur lesquels les routeurs > n’ont pas accès au net, pour des raisons de topo ou de sécurité. > > Quelqu’un veut bien faire le test ? > > David Ponzone > > > >> Le 13 mars 2022 à 15:48, Wallace a écrit : >> >> Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont >> full open en sortie même si l'entrée est filtrée, je doute même que beaucoup >> de monde aient une vue sur le trafic émis par un backbone puisqu'il n'y a >> pas de firewall pour loguer et filtrer en amont. >> >> En tout cas je sors les popcorns j'ai hâte de voir les retours. >> >>>> Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : >>> Dans le cadre de la réflexion sur la robustesse de l'Internet au cas >>> où un russe / un chat / un chat russe couperait les câbles >>> transatlantiques, certains disent que les routeurs Cisco / Juniper / >>> etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent >>> pas joindre leur serveur de licences. >>> >>> Cela me parait fort de café (bien des routeurs sont dans des réseaux >>> fermés, sans accès à l'extérieur) mais avez-vous des informations >>> fiables à ce sujet ? >>> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Perso, j’y crois pas. Il y a forcément des réseaux sur lesquels les routeurs n’ont pas accès au net, pour des raisons de topo ou de sécurité. Quelqu’un veut bien faire le test ? David Ponzone > Le 13 mars 2022 à 15:48, Wallace a écrit : > > Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont > full open en sortie même si l'entrée est filtrée, je doute même que beaucoup > de monde aient une vue sur le trafic émis par un backbone puisqu'il n'y a pas > de firewall pour loguer et filtrer en amont. > > En tout cas je sors les popcorns j'ai hâte de voir les retours. > >> Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : >> Dans le cadre de la réflexion sur la robustesse de l'Internet au cas >> où un russe / un chat / un chat russe couperait les câbles >> transatlantiques, certains disent que les routeurs Cisco / Juniper / >> etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas >> joindre leur serveur de licences. >> >> Cela me parait fort de café (bien des routeurs sont dans des réseaux >> fermés, sans accès à l'extérieur) mais avez-vous des informations >> fiables à ce sujet ? >> > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Pas entendu parlé mais ça m'étonnerait à peine et beaucoup de réseaux sont full open en sortie même si l'entrée est filtrée, je doute même que beaucoup de monde aient une vue sur le trafic émis par un backbone puisqu'il n'y a pas de firewall pour loguer et filtrer en amont. En tout cas je sors les popcorns j'ai hâte de voir les retours. Le 13/03/2022 à 14:27, Stephane Bortzmeyer a écrit : Dans le cadre de la réflexion sur la robustesse de l'Internet au cas où un russe / un chat / un chat russe couperait les câbles transatlantiques, certains disent que les routeurs Cisco / Juniper / etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas joindre leur serveur de licences. Cela me parait fort de café (bien des routeurs sont dans des réseaux fermés, sans accès à l'extérieur) mais avez-vous des informations fiables à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Les routeurs dépendent-ils du serveur de licence ?
Dans le cadre de la réflexion sur la robustesse de l'Internet au cas où un russe / un chat / un chat russe couperait les câbles transatlantiques, certains disent que les routeurs Cisco / Juniper / etc cesseraient de fonctionner au bout de N jours s'ils ne peuvent pas joindre leur serveur de licences. Cela me parait fort de café (bien des routeurs sont dans des réseaux fermés, sans accès à l'extérieur) mais avez-vous des informations fiables à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/